État de la menace informatique dans le secteur de la santé

Contexte et méthodologie
En raison de l’importance cruciale du secteur de la santé, les entités qui le composent sont soumises à un cadre législatif bien particulier variant en fonction de leur nature et de leurs activités. L’Anssi (Agence nationale de la sécurité des systèmes d’information) s’est basée sur des textes de législation non spécifique (RGPD, REC, LPM…) et spécifique (EHDS, Code de la santé publique…) pour l’analyse des différents risques auxquels il est exposé. Bien que le secteur soit soumis à des lois spécifiques, plusieurs types généraux de menaces – à finalité lucrative, d’espionnage et de déstabilisation – sont exposés.

Menaces à finalité lucrative
Les menaces à finalité lucrative représentent le principal défi que doit relever le secteur de la santé. Elles prennent diverses formes telles que les rançongiciels, l’exfiltration de données pour revente et les compromissions pour fraude. Depuis 2020, bien que le secteur ne soit pas une cible spécifique, les attaques opportunistes ont augmenté. Les rançongiciels causent souvent l’indisponibilité des services, impactent la réputation, ont des conséquences légales et accroissent les risques pour la sécurité des patients. En 2022-2023, l’Anssi a noté 30 incidents majeurs ayant affecté des établissements de santé. Les laboratoires et les prestataires de services de santé sont particulièrement vulnérables, subissant des perturbations opérationnelles et des fuites de données. Les prestataires de services de paiement sont aussi touchés, avec des conséquences financières importantes. Des documents ou des produits médicaux frauduleux peuvent être distribués à travers des sites Internet douteux ou à la suite de cyberattaques contre des entités du secteur de la santé. Les attaques peuvent aussi viser les données de paiement ou les capitaux des patients d’établissements de santé victimes d’usurpation.

Menaces à finalité d’espionnage
Les entités du secteur de la santé sont ciblées par des opérateurs d’espionnage informatique pour le compte d’États afin d’obtenir des données personnelles et médicales. La pandémie de Covid-19 a intensifié ces activités, notamment pour compenser des retards de recherche. Divers groupes étatiques (Iran, Russie, Chine, Corée du Nord) ont ciblé la recherche sur le Covid-19, les vaccins et les traitements. L’hameçonnage et l’exploitation de vulnérabilités sont utilisés pour accéder aux données sensibles, souvent dans le cadre d’opérations plus larges. Par exemple, en 2020, des attaquants chinois ont exfiltré des données de centres de recherche médicale en Espagne. Les entités de santé peuvent aussi être ciblées par des campagnes d’espionnage visant plusieurs secteurs pour obtenir des accès non autorisés à des systèmes d’information. Entre janvier et mars 2020, le groupe chinois APT41 a ciblé des entités pharmaceutiques en exploitant des vulnérabilités. En 2023, le groupe nord-coréen Lazarus a compromis des entités de santé via une vulnérabilité dans la solution ServiceDesk de ManageEngine.

Menaces à finalité de déstabilisation
Les attaques informatiques destinées à déstabiliser le secteur de la santé sont souvent menées par des groupes hacktivistes. Elles incluent des attaques DDoS, des défigurations de sites Web et des exfiltrations de données, souvent en lien avec des événements nationaux ou internationaux. Pendant la crise sanitaire du Covid-19, des groupes ont ciblé des entités du secteur pour dénoncer la mauvaise gestion de la pandémie. Les attaques DDoS peuvent perturber des services de santé essentiels.

Des actions de déstabilisation peuvent également être menées par des opérateurs soutenus par des États ou opposants au régime en place. Par exemple, en juin 2023, des sites d’hôpitaux français ont été touchés par une attaque DDoS revendiquée par le groupe Anonymous Sudan à la suite de la mort de Nahel Merzouk, tué par un policier à Nanterre. En mai 2020, le groupe DigitalSp4ce a divulgué les résultats médicaux de l’ancien président brésilien Jair Bolsonaro. En décembre 2020, l’Agence européenne du médicament a subi une fuite de données attribuée à des opérateurs potentiellement russes et le groupe hacktiviste indonésien Infinite Insight serait à l’origine, en octobre 2023, de la publication des données de près de 800 000 médecins nord-américains pour dénoncer le soutien des États-Unis à Israël. Les entités du secteur peuvent aussi subir des sabotages utilisant de faux rançongiciels.

Les principaux acteurs visés
Les menaces qui pèsent sur le périmètre du secteur de la santé sont classées en plusieurs catégories, allant des acteurs qui occupent un rôle stratégique dans le pilotage et le financement du système de santé (ANS, ministère de la Santé…) aux prestataires de soins ayant un contact direct avec le patient dans le cadre de la prévention ou du diagnostic, en passant par les industriels de produits de santé ainsi que les fournisseurs ou les prestataires du secteur de la santé.

Les contraintes structurelles identifiées
Le secteur de la santé est critique et doit respecter des impératifs stricts de disponibilité, de confidentialité et d’intégrité des systèmes d’information (SI). Les cyberattaques peuvent gravement perturber les soins et augmenter le taux de mortalité. En France, le secteur est fragmenté et numérisé, ce qui le rend vulnérable. Entre janvier 2022 et décembre 2023, 86 % des incidents signalés à l’Anssi concernaient des établissements de santé. Les incidents résultent de compromissions de comptes de messagerie, de rançongiciels et de comportements à risque des utilisateurs. Si les établissements de santé dépendent de SI complexes et souvent non résilients, les incidents affectent particulièrement les services critiques comme la réanimation et la pharmacie. Des budgets limités, des difficultés de maintenance et de mauvaises pratiques de sécurité constituent autant de contraintes structurelles identifiées. L’Anssi cite également le risque que représentent les dispositifs médicaux connectés qui, souvent obsolètes et à défaut de mise à jour, peuvent être exploités par des attaquants. Face à ce constat, plusieurs actions ont été mises en place depuis 2020 pour améliorer la cybersécurité, comme les programmes France Relance et CaRE.

Recommandations et axes d’amélioration
Par ailleurs, l’Anssi souligne l’importance, en particulier pour les établissements de santé, d’inclure le RSSI dans tous les projets à dimension informatique et de promouvoir la collaboration entre le personnel de cybersécurité, le personnel IT et les ingénieurs biomédicaux. Cette synergie vise à renforcer la compréhension des systèmes d’information utilisés, à faciliter leur sécurisation et à garantir une réponse efficace en cas d’incident informatique. De plus, l’application des recommandations du document produit par l’Anssi doit reposer sur une démarche itérative d’amélioration continue, en priorisant les risques les plus élevés pour l’entité. Il est conseillé de commencer par un état des lieux de son système d’information, la sensibilisation du personnel et la mise en place de mécanismes de résilience avant de déployer des mesures de protection et de défense pour assurer une meilleure gestion des risques.